La cyberassurance reste largement perçue comme inutile

L’échantillon est mince, mais les résultats n’en sont pas moins éloquents. Wallix a interrogé 38 professionnels de l’IT en France et 29 au Royaume-Uni. Et 76 % des responsables de sécurité des systèmes d’information français sondés estiment qu’il ne leur est pas nécessaire de souscrire d’assurance pour couvrir les risques informatiques… ou que son coût est trop élevés – par rapport au risque, aux bénéfices, ou les deux.

Le second chiffre ressortant de cette étude est peut-être le plus préoccupant : plus d’un quart des RSSI français ne savent pas à qui devrait incomber la souscription d’une telle assurance. De quoi s’interroger sur la manière dont est appréhendé le risque informatique dans leurs organisations, s’il l’est. Pour 29 % des RSSI français, toutefois, cette responsabilité revient au service finances, devant la DSI. De quoi laisser à penser que, même ce n’est pas toujours formalisé, dans certaines organisations, la gestion du risque informatique est appréhendée comme relevant de la responsabilité de l’organisation dans son ensemble, et non pas de l’une de ses divisions en particulier.

Outre Manche, c’est une autre approche qui semble dominer. Seulement 4 % des RSSI britanniques estiment que le service finances doit assumer la responsabilité de l’assurance des risques informatiques : pour 31 % d’entre eux, c’est à la DSI que cela revient, contre 23 % au service chargé de la gestion des risques.

Mais si les assurances habituelles sont assorties de conditions, les RSSI ne semblent pas les imaginer trop contraignantes en matière de cyberassurance. Ou alors sont-ils très confiants dans leurs pratiques et technologies existantes. Car 46 % des RSSI français sondés estiment que la souscription d’une telle assurance ne devrait pas se traduire par de nouveaux investissements en sécurité. Mieux : des deux côtés de la Manche, 41 % des sondés estiment que leur organisation ne devrait pas avoir à changer ses politiques de sécurité en cas de souscription d’une cyberassurance.

Mais en fait, c’est bien la confiance qui semble induire ces opinions. En France, les RSSI sondés estiment à 76 % qu’il est « facile ou très facile d’identifier la persistance d’accès d’ex-employés à des ressources internes ». Et pour les anciens fournisseurs ? 40 % estime qu’identifier la persistance de leur accès est facile, et autant qu’elle est très facile.

Plus prudents – ou moins préparés ? – les RSSI britanniques sont beaucoup plus prudents, la moitié d’entre eux estimant qu’il serait difficile ou très difficile d’identifier cette persistance pour d’anciens prestataires… et ils sont 55 % avec la même opinion pour les anciens collaborateurs de leur organisation.